Азиатские APT-группировки: тактики, техники и процедуры

Почти каждый квартал публикуются крупные расследования, посвященные кампаниям или инцидентам с участием азиатских APT-группировок. Эти кампании и инциденты направлены против организаций из множества различных индустрий; географическое положение жертв тоже не ограничивается одним регионом. Обычно такие расследования содержат подробную информацию об утилитах, которыми пользуются злоумышленники, уязвимостях, которые они эксплуатируют, и иногда атрибуцию.

Несмотря на большое количество подобных отчетов, зачастую организации оказываются не готовы к встрече с таким атакующим. Продвинутые инструменты и техники, используемые злоумышленниками, требуют от защитников не только высокой экспертизы и опыта, но и подготовленности инфраструктуры: выстроенных процессов asset management и vulnerability management, сегментированной сети, правильно настроенного аудита и грамотно сконфигурированных средств защиты информации. Именно неподготовленность инфраструктуры в большинстве случаев является фактором, позволяющим азиатским APT производить успешные атаки.

Команда Kaspersky Cyber Threat Intelligence выпустила отчет, в котором поделилась наиболее полезными разведданными об азиатских APT-группировках. За время нашей работы мы отметили, что именно эти группировки затронули больше всего стран и индустрий. Что самое главное — проанализировав сотни атак, мы обнаружили у различных группировок схожий почерк. Цели на различных этапах Cyber Kill Chain достигаются с использованием ограниченного числа одних и тех же техник. Защитники по всему миру продолжают с ними сталкиваться, однако, к сожалению, зачастую испытывают трудности в обнаружении таких атак в своей инфраструктуре.

Для кого этот отчет

Мы создавали этот отчет, чтобы поделиться с сообществом наиболее подготовленными разведданными для эффективного противостояния азиатским APT-группировкам. Отчет будет наиболее полезен для:

• Специалистов по Threat Hunting
• Экспертов по кибербезопасности
• Администраторов доменов
• Аналитиков SOC
• Аналитиков Cyber Threat Intelligence
• Специалистов по цифровой криминалистике (DFIR)
• C-Level-руководителей, ответственных за решения ИБ в организации

Этот материал можно рассматривать как библиотеку знаний об основных подходах, используемых азиатскими APT-группировками при взломе какой-либо инфраструктуры. Отчет также содержит подробную информацию о тактиках, техниках и процедурах (TTPs) злоумышленников, основанную на методологии MITRE ATT&CK.

Структура отчета

Отчет состоит из шести основных разделов:

1. Инциденты с азиатскими APT в разных уголках планеты
   Информация о пяти инцидентах, обнаруженных нами в разных точках мира. Каждый инцидент — это уникальный кейс в своей стране и индустрии, описывающий действия и TTPs злоумышленников. В конце раздела мы собрали сводную таблицу, которая состоит из списка TTPs, относящихся к рассматриваемым APT-группировкам, и пересечений их использования в инцидентах с участием этих группировок.
2. Технические детали
   Детализированное описание техник, обнаруженных нами у азиатских APT-группировок. Каждое описание содержит:
   • подробные сведения о том, как техника работает,
   • примеры ее использования азиатскими APT,
   • данные по подходам обнаружения описываемой техники, а также EventID событий различных агентов мониторинга для обнаружения данной угрозы,
   • список SIGMA-правил, относящийся к этой технике.
3. Анализ действий атакующих на основе Unified Kill Chain
   Основываясь на Unified Kill Chain, мы создали собственную таблицу, связанную с азиатскими APT-группировками, с целью дать верхнеуровневое понимание мотивации и почерка злоумышленников, а также предоставить сведения о том, как могут действовать азиатские APT-группировки в потенциальных атаках.
4. Митигации
   Описание митигаций рисков, основанных на описанных TTPs.
5. Статистика по жертвам
   Статистика по жертвам азиатских группировок в мире, включающая разделение по странам и индустриям.
6. Приложение: SIGMA
   SIGMA-правила, которые можно применять для обнаружения описанных в этом отчете техник.

Полная версия отчета «Тактики, техники и процедуры современных азиатских APT-группировок» (PDF, русский)